Des vulnérabilités ont été détectées dans le noyau Linux qui nécessitent une mise à niveau du noyau. Pour plus d’informations, voir
https://www.mcafee.com/enterprise/en-us/threat-center/product-security-bulletins.html.
Pour appliquer les dernières mises à jour de sécurité, procédez à la mise à niveau des packages MLOS kernel et application manuellement sur le serveur TIE appliance, comme décrit ci-dessous.
FAUT La procédure suivante a été testée avec les packages spécifiés. L’implémentation de ce correctif avec d’autres versions peut échouer et se pas pris en charge.
Mise à niveau du noyau MLOS vers la dernière version:
Veuillez Planifiez une période d’indisponibilité pour le processus de mise à niveau du noyau MLOS.
- Téléchargez le fichier mkinitrd et vmid packages du référentiel MLOS :
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/mkinitrd-6.1-42. MLOS2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/vmid-1.0-1. MLOS2.x86_64. rpm
- Si vous êtes en train de s’exécuter sur un matériel non-métallique avec une puce Intel, téléchargez la Microcode Intel package du référentiel MLOS :
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/intel-ucode-20191115-4.mlos2.x86_64. rpm
- Téléchargez les packages de noyau à partir du référentiel MLOS :
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/kernel-4.9.206-1. MLOS2.x86_64. rpm
- Copiez les RPM téléchargés à l’étape préc�dente dans l'appliance du serveur TIE.
- Connectez-vous au appliance à l’aide de SSH et passez à l’utilisateur racine à l’aide de la commande suivante :
$ su -
- Remplacez le répertoire par l’emplacement où les RPM ont été copiés.
- Pour les installer, saisissez les commandes suivantes :
REMARQUES :
- Si vous n’utilisez pas de matériel vierge avec une puce Intel, Etape c :. et p ne sont pas nécessaires.
- Assurez-vous que vous utilisez la package de noyau correcte que vous avez téléchargée.
- Vérifiez que mkinitrd a déjà été mis à niveau :
rpm -qa mkinitrd
- Si le téléchargement mkinitrd la version n’est pas installée. Mettez-la à niveau :
rpm -Uvh --checksig vmid-1.0-1.mlos2.x86_64.rpm mkinitrd-6.1-42.mlos2.x86_64.rpm
- Vérifiez que le microcode Intel® téléchargé ou un microcode plus récent est déjà installé :
rpm -qa | grep intel-ucode
- Si le téléchargement intel-ucodeou une version plus récente est existant installé, saisissez la commande suivante pour l’installer :
rpm -Uvh --checksig --nopost --nodeps intel-ucode-20191115-4.mlos2.x86_64.rpm
- Vérifiez que le noyau téléchargé, ou un noyau plus récent, est déjà installé :
rpm -qa | grep kernel
- Si le noyau téléchargé, ou un noyau plus récent, est pas installé, saisissez la commande suivante pour l’installer :
Veuillez En fonction du noyau MLOS actuel, vous pouvez voir des avertissements inoffensifs.
rpm -ivh kernel-4.9.206-1.mlos2.x86_64.rpm
- Une fois la mise à niveau terminée, vérifiez que le nouveau noyau est installé et sélectionné par défaut à l’aide de la commande suivante :
cat /boot/grub/grub.conf
Exemple de sortie que vous voyez :
valeur par défaut = 0
[...]
title McAfee serveur de plate-forme TIE (vmlinuz-4.9.189-1. MLOS2.x8664bits
[...]
Si la valeur par défaut ne correspond pas à l’entrée associée au noyau installé, mettez à jour la valeur à l’aide d’un éditeur tel que VL.
- Pour terminer le processus, redémarrez l'appliance à l’aide de la commande suivante :
reboot
Mettez à niveau la bibliothèque OpenSSL vers la dernière version :
- Pour déterminer la version de package installée, saisissez la commande suivante :
$ rpm -qa openssl
- Si une mise à niveau est nécessaire, téléchargez les packages les plus récents à partir du référentiel MLOS :
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-1.0.2u-2. MLOS2.x86_64. rpm
https://rpm.mcafeelinux.org/mlos/mlosrepo/2/updates/x86_64/openssl-libs-1.0.2u-2. MLOS2.x86_64. rpm
- Copiez les RPM téléchargés à l’étape précédente dans l'appliance du serveur TIE.
- Connectez-vous au appliance à l’aide de SSH et passez à l’utilisateur racine à l’aide de la commande suivante :
$ su -
- Remplacez le répertoire par l’emplacement où les RPM ont été copiés.
- Pour les installer, saisissez la commande suivante :
rpm -Uvh --checksig openssl-1.0.2u-2.mlos2.x86_64.rpm openssl-libs-1.0.2u-2.mlos2.x86_64.rpm
- Redémarrez le serveur TIE à l’aide de la commande suivante :
reboot
- Vérifiez que les services TIE sont sains :
- Ouvrez la console ePO.
- Cliquez sur Menu, Configuration, puis sélectionnez Paramètres serveur.
- Sélectionnez le Gestion de la topologie des serveurs TIE section.
- Vérifiez l’état de la connectivité DXL, ATD et GTI pour chaque instance de serveur TIE.
Mettez à niveau la bibliothèque OpenSSH vers la dernière version :
- Pour déterminer la version de package installée, saisissez la commande suivante :
$ rpm -qa openssh
- Si une mise à niveau est nécessaire, téléchargez les packages les plus récents à partir du référentiel MLOS :
- Copiez les RPM téléchargés à l’étape précédente dans l'appliance du serveur TIE.
- Connectez-vous au appliance à l’aide de SSH et passez à l’utilisateur root à l’aide de la commande suivante :
$ su –
- Remplacez le répertoire par l’emplacement où les RPM ont été copiés.
- Pour les installer, exécutez la commande suivante :
rpm -Uvh --checksig openssh-7.4p1-17.mlos2.x86_64.rpm openssh-server-7.4p1-17.mlos2.x86_64.rpm openssh-clients-7.4p1-17.mlos2.x86_64.rpm
- Redémarrez le serveur TIE à l’aide de la commande suivante :
reboot
- Vérifiez que les packages ont bien été mis à jour en redémarrant la connexion SSH.
Procédures
Si le serveur TIE ne parvient pas à démarrer après la mise à niveau du noyau MLOS :
- Redémarrez le système. Dans le menu de démarrage, sélectionnez le noyau MLOS précédent.
- Après avoir démarré le serveur TIE avec l’ancien MLOS noyau, collectez un MER et contactez le Support technique.